کشف بدافزار خطرناکی که سیستمهای کنترل صنعتی را هدف قرار داده است
ICTPRESS - به تازگی پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری روی سیستمهای کنترل صنعتی (ICS) متمرکز است، خبر دادند که به طور عمده سیستمهای ویندوزی را هدف قرار میدهد.
به گزارش شبکه خبری ICTPRESS، به تازگی پژوهشگران امنیت سایبری از کشف نوع جدیدی از بدافزار که به حملات سایبری بر روی سیستمهای کنترل صنعتی (ICS) متمرکز است، خبر دادند.
این بدافزار که به نام "FrostyGoop" شناخته میشود، برای نخستین بار به طور مستقیم از پروتکل Modbus TCP برای خرابکاری در شبکههای تکنولوژی عملیاتی (OT) استفاده میکند و به طور خاص برای هدف قرار دادن سیستمهای کنترل ENCO که از پروتکل Modbus TCP استفاده میکنند طراحی شده است.
Modbus یک پروتکل ارتباطی است که برای انتقال اطلاعات بین دستگاههای الکترونیکی استفاده میشود. این پروتکل در اصل برای استفاده در سیستمهای کنترل صنعتی طراحی شده و از آن برای ارتباط بین دستگاههایی مانند کنترلرهای منطقی قابل برنامهریزی (PLC) و حسگرها یا محرکها استفاده میشود. Modbus از ساختار کلاینت-سرور استفاده میکند. این پروتکل معمولاً از طریق پورت ۵۰۲ TCP/IP پیادهسازی میشود.
FrostyGoop که با زبان برنامهنویسی Golang نوشته شده، میتواند مستقیماً با دستگاههای ICS از طریق پروتکل Modbus TCP بر روی پورت ۵۰۲ ارتباط برقرار کند. این بدافزار به طور عمده سیستمهای ویندوزی را هدف قرار میدهد و برای آسیب رساندن به دستگاههای کنترل ENCO که پورت TCP ۵۰۲ آنها به اینترنت متصل است، استفاده میشود.
سیستمهای کنترل ENCO (Energy Control System) در واقع نوعی سیستم کنترل صنعتی هستند که برای مدیریت و نظارت بر تجهیزات و فرآیندهای انرژی استفاده میشوند. این سیستمها معمولاً در تأسیسات انرژی مانند نیروگاهها، شبکههای توزیع برق و تأسیسات گرمایشی به کار میروند. سیستمهای ENCO میتوانند شامل سختافزار و نرمافزارهایی باشند که برای جمعآوری دادهها، مانیتورینگ و کنترل تجهیزات انرژی استفاده میشوند.
این سیستمها اغلب از پروتکلهای ارتباطی استاندارد مانند Modbus برای ارتباط با دستگاههای مختلف استفاده میکنند. این بدافزار قابلیت خواندن و نوشتن دادهها به دستگاههای ICS را دارد و همچنین میتواند دستورات از طریق فایلهای پیکربندی JSON دریافت کند و خروجیها را به کنسول و یا فایل JSON گزارش دهد.
حملهای که اخیرا رخ داد و در آن از FrostyGoop استفاده شده بود، به یک شرکت انرژی صورت گرفت و منجر به قطع خدمات گرمایشی در بیش از ۶۰۰ ساختمان مسکونی به مدت نزدیک به ۴۸ ساعت شد. محققان معتقدند که دسترسی اولیه به شبکههای آسیبدیده از طریق آسیبپذیریهایی در روترهای Mikrotik به دست آمده است.
FrostyGoop یکی از نه نوع بدافزار ICS است که تاکنون شناسایی شده است. این بدافزارها شامل Stuxnet، Havex، Industroyer، Triton، BlackEnergy۲ Industroyer۲ و COSMICENERGY هستند. FrostyGoop به طور خاص از پروتکل Modbus TCP برای برهم زدن عملکرد دستگاههای ICS استفاده میکند و تهدیدی جدی برای زیرساختهای حیاتی در بخشهای مختلف به شمار میآید.
با توجه به این که بیش از ۴۶,۰۰۰ دستگاه ICS به صورت اینترنتی با استفاده از پروتکل Modbus ارتباط دارند، وجود چنین بدافزارهایی میتواند پیامدهای خطرناکی برای عملیات صنعتی و ایمنی عمومی داشته باشد. پژوهشگران توصیه میکنند که سازمانها امنیت زیرساختهای خود را با پیادهسازی تدابیر جامع حفاظتی تقویت کنند تا از تهدیدات مشابه جلوگیری کنند.
بر اساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای(ماهر) برای پیشگیری و کاهش خطر بدافزار یادشده می توان اقداماتی مانند بهروزرسانی سیستمها و تجهیزات، مانیتورینگ شبکه و شناسایی هرگونه فعالیت مشکوک، پیکربندی درست تجهیزات و حصول اطمینان از اینکه پورتهای ناامن مانند پورت ۵۰۲ برای Modbus به درستی پیکربندی شده و در معرض اینترنت نیستند، آموزش پرسنل، استفاده از فایروالها و سیستمهای تشخیص نفوذ (IDS/IPS) برای محافظت از شبکه، پشتیبانگیری منظم از دادهها و سیستمها و اجرای سیاستهای دسترسی محدود به سیستمهای حیاتی انجام داد.
لازم به ذکر است خردادماه این مرکز از انتشار بدافزاری با استفاده از بهروزرسانی جعلی مرورگرها هشدار داده بود. در واقع مهاجمان سایبری با استفاده از بهروزرسانیهای جعلی مرورگرها، بدافزارهایی نظیر BitRAT و Lumma Stealer را توزیع میکردند. گفته شده این حملات با هدایت کاربران به وبسایتهای آلوده و دانلود فایلهای مخرب توسط آنها آغاز میشوند.
نظرات : 0